SEGURIDAD EN SISTEMAS DE INFORMACION

TEMA 2. Seguridad sica y seguridad de usuarios

FJRP. SSI, 2005 18 de junio de 2006

1.

Seguridad sica
DEF (seguridad sica): aplicacion de barreras sicas y procedimientos de control como medidas de control y contramedidas contra las amenazas sicas a los recursos y la informacion condencial. Dos aspectos: prevencion + deteccion En muchos casos: mas facil aprovechar vulnerabilidades sicas (maquinas o dispositivos de almacenamiento accesibles, backups antiguos olvidados, ...) que fallos logicos (conguracion no adecuada, agujeros del software, ...) No solo ataques amenazan seguridad sica: incendios, caidas, robos, interferencias electromagneticas,...

1.1.

Proteccion del hardware

OBJETIVO: Asegurar la integridad y disponibilidad de los elementos hardware. Las herramientas seran basicamente se tratara de medidas de prevencion y, ocasinalmente, de recuperacion. AMENAZAS: Acceso sico: Es necesario cierto grado de seguridad en el acceso sico para garantizar la seguridad total. La posibilidad de acceso sico a un recurso hardware (maquinas, discos, ...) por parte de un atacante hace practicamente inutil cualquier otra medida de seguridad (rewall, cifrado,...) Nivel de control del acceso sico depende mucho del entorno concreto (servidor web de un depto., BD hacienda/CIA) 1

 PREVENCION: Cierre de puertas en dependencias vacias, mecanismos de autenticacion en acceso a determinadas salas (mecanismos biometricos [huellas, voz], tarjetas de control, ...) Mecanismos de registro de accesos a zonas sensibles: log con identicacion del usuario, horas de inicio y n Evitar acceso directo al cableado y la existencia de tomas de red no controladas. DETECCION: Si prevencion no es posible/suciente, interesara que los accesos sicos no deseados se detecten cuanto antes, para minimizar sus efectos. Desastres naturales Problemas derivados de la no prevencion de desastres naturales Ejemplos Terremotos y vibraciones (traco pesado) Tormentas electricas Inundacioens y humedad Desastres del entorno Problemas derivados de la no prevencion de accidentes en el uso cotidiano de los equipos Ejemplos Problemas electricos: cortocircuitos, sobrecargas, subidas de tension, apagones, electricidad estatica (componentes internos),... Prevencion: estabilizadores de tenson, tomas de tierra adecuadas, sistemas de alim. ininterrumpida (SAI), aislamiento adecuado,... Ruido electrico e interferencias electromagneticas: el funcionamiento de otras maquinas puede afectar al HW o al los elemtos sicos de la red (cableado) Ejemplos: motores electricos, maquinaria pesada, cables de alimentacion, transformadores -interferencias dispositivos de emision de ondas: telef. moviles; emisoras radio, ... Incendios y humo: problema anhadido del disenho de metodos de extincion adecuados (extincion por gas [halos o dioxido de carbono]) Temperaturas extremas: en determinados entornos (equipos muy delicados) es necesario controlar la temperatura de funcionamiento y asegurar que se mantiene en los margenes de funcionamiento (normalmente el problema es por sobrecalentamiento) Uso de aire acondiconado, mantenimiento de limpieza de ventiladores y disipadores, etc...

1.2.

Proteccion de los datos

La seguridad f sica tambin incluye la proteccin de la info. soportada por el hardware: e o la almacenada y la que se transmite entre equipos Existen ataques/amenazas f sicas que pueden dar lugar a la consecucin / destruccin de o o la info. alamacenada. Posibles amenazas sicas a los datos Intercepcin/evaesdropping: un tercer agente intercepta info. (en claro o cifrada) o no dirigida a l e Tcnicas: sning consiste e la captura de tramas que circulan por al red, desde una e mquina conectada a ella o desde didspositivos espec a cos para este ataque Soluciones: No permitir segmentos de red o tomas de facil acceso y escaso control, uso de tcnicas de cifrado (hardware o software) e Tambien puede ser fuente de info. la intercepcin de datos emitidos en forma de sonidos o o ruido: pinchazos, info. sobre pautas y momentos de uso de recursos, etc.. Proteccin de back-ups: necesidad de proteccin f o o sica de la info. almacenada en los back-ups, mismas medidas que las aplicadas sobre el sistema normal Evitar mantener los dispositivos de back-up en la misma sala/edicio que el demas HW del sistema. Evitar un etiquetado del almacenamiento de back-up que facilite la explotacin de esas o copias de seguridad (o indicar explictamente los cheros que se contienen, usar algun esquema de equiquetado que no de pistas) Otros elementos: evitar otro tipo de soportes sicos de datos fuera de control: listados, facturas, manuales, etc

2.

Seguridad de usuarios
Personal: punto ms debil de la seguridad de los sist. informticos a a falta de preparacin tcnica o e desconocimiento de normas de seguridad o desidia fcilmente manipulables a

2.1.

Ataques relacionados con el personal

Ingenieria social: manipulacin de las personas para que voluntariamente realicen actos o que normalente no har an Atacante aprovecha desconocimiento del ususario sobre medidas de seguridad. Usuario actua de buena f. e Fisgoneo (shoulder surng ): espionage f sico de la actividad de los usuairos

Aprovechan la ingenuidad del usuario: password anotado en un papel, dialogos de aplicaciones donde el eco del passwords est activado. a Suplantacin (masquerading ): suplantacin de la identidad de un usuario leg o o timo (electrnicamente o en persona) cuando el control y la vericacin de accesos es demasiado o o dbil. e Basureo: obtencin de info. abandonada, en apariencia info. sin importancia. o Puede ser f sico (revisin de la basura, papeleras, material impreso ya utilidado que o se desecha) o lgico (anlisis del uso de memoria, trazas de transmisiones, recuperacin de o a o chero y bloques de disco borrados). En caso de sistemas de almacenamiento (disco duro, CD) es importante asegurar la correcta inutilizacin de los datos incluidos en los mismos una vez desechado o Ej.: borrado lgico no supone eliminacion real de los datos incuidos en los bloques de o un disco duro